#MeAndMyRights : le cryptage, pourquoi en avez-vous besoin et pourquoi ça ne suffit pas?

Le cryptage est une technique très ancienne. C'est le processus permettant de cacher le sens d'un message, à l'aide d'un code. Nous expliquons ici en quoi cette pratique protège notre vie privée et notre argent et comment les autorités le contournent.

Peut-être vous souvenez-vous de disputes ayant éclaté entre certaines entreprises et services de sécurité à cause du chiffrement (ou cryptage). La bataille entre Apple et le FBI, suite à la fusillade de San Bernardino, aux USA, reste mémorable. Le ccryptage est une technique très ancienne. Elle se réfère au processus par lequel vous pouvez cacher le sens d'un message en utilisant un code. Par exemple, un code très simple consiste échanger les lettres de l'alphabet par des chiffres (1,2,3 serait a,b,c). Si je sais que vous avez utilisé ce code pour chiffrer vos messages, alors quand vous me tendez un bout de papier avec inscrit “9 12-12 2-5 2-1-3-11” (I'll be back" en anglais, en référence au film Terminator), je saurai que soit vous allez juste au toilette, soit vous êtes vous-même Terminator.

Comment ça marche?

Le cryptage peut fonctionner de différentes façons sur le web, mais le ce qu'on appelle le "chiffrement de bout-en-bout" reste le type de cryptage le plus sûr et celui que les autorités aiment le moins. Voici comment cela marche : vous écrivez un email à un ami, et votre ordinateur chiffre votre message avant l'envoi. L'email est transmis via internet à votre ami dans sa version chiffrée/cryptée. Par conséquent quiconque intercepte l'email ne peut en lire le contenu. Quand ce message arrive sur l'ordinateur de votre ami, sa machine décrypte le message. Ce type de chiffrement est le plus sûr car les codes nécessaires en vue de chiffrer et déchiffrer les messages existent seulement sur les téléphones et ordinateurs de deux personnes communicant entre elles. Ni l'entreprise qui vous fournit l'accès à internet, ni celle qui crée le programme de messagerie électronique connaissent le code. Ce qui veut dire que les services de sécurité ne peuvent trouver le code, eux non plus.

Il est possible que vous utilisiez le cryptage régulièrement, et ce sans le savoir. Chaque fois que vous utilisez les services de banque en ligne, que vous achetez des articles sur le web ou y payez vos impôts, le chiffrage est à l'oeuvre en vue d'empêcher quiconque d'intercepter et lire les informations ou données envoyées. Cela permet de garder votre agent et vos données personnelles en sécurité.

Depuis que Edward Snowden a révélé des documents secrets en 2013, on a beaucoup parlé dans les médias de la manière dont les services de renseignements américains, britanniques et de pays membres de l'UE mènent des activités de surveillance de masse sur leur propre population. Il est devenu clair que les entreprises technologiques (comme Microsoft, Google, Facebook et Apple) ont en réalité aidé les gouvernements à espionner leurs usager.ères. Parfois les entreprises du secteur des technologies donnaient même l'autorisation aux autorités de recueillir les données en accédant à leurs câbles téléphoniques et à leurs banques de données. Après les révélations de Snowden, ces entreprises ont craint que leurs client.es ne perde toute confiance en elles, et c'est pour cela que certains d'entre elles, dont Apple, ont commencé à mettre en place le chiffrement dans leurs services.

Pour la plupart, les services de renseignement et sécurité s'opposent au cryptage/chiffrement car ils prétendent que cela les empêche de surveiller les personnes suspectées de terrorisme et leurs communications. Certains pays parlent de rendre le chiffrement illégal. D'autres pensent obliger les entreprises technologiques et du web à donner les codes de cryptage qu'elles utilisent aux services de sécurité, ce qui permettrait aux autorités de déchiffrer les communications quand bon leur semble, et de passer par "la porte de derrière" (back door en anglais).

Interdire le chiffrement causerait du tort à des innocents

Rendre le chiffrement illégal ou créer de tels moyens pour les services de sécurité ne rendra pas la vie des terroristes plus difficile. Si ces derniers veulent utiliser le chiffrement, ils peuvent toujours créé leurs propres programmes ou en utiliser des déjà existants dans des pays où cela n'est pas illégal. Les assaillants peuvent aussi trouver d'autres moyens d'esquiver la surveillance de masse, comme utiliser des mots codés ou changer fréquemment de numéros de téléphone en utilisant des cartes SIM pré-payées. Par exemple, certains services de sécurité ont indiqué que les autorités françaises n'ont pas été à même de stopper ou d'intervenir plus rapidement lors des attaques de 2015 à Paris, car les assaillants avaient utiliser le chiffrement. Mais, en réalité, il semble que ces derniers communiquaient au moyen de SMS non chiffrés.

Rendre le chiffrement illégal ne rendra pas la tâche des services de sécurité plus aisée pour attraper les terroristes. Mais cela générera beaucoup de problèmes pour les personnes innocentes. Si le chiffrement devient illégal, nous ne serons plus à même d'utiliser internet pour faire du shopping ou consulter notre banque en ligne. Cela serait donc mauvais pour l'économie. Le chiffrement est également utilisé par un grand nombre de personnes qui travaillent dans des situations dangereuses, comme les journalistes qui enquêtent sur la corruption ou encore les activistes démocratiques qui travaillent dans des pays dictatoriaux. Le chiffrement leur offre une sécurité et protège leurs activités et contacts des gouvernements qui les espionnent. Si le chiffrement reste légal mais que les entreprises sont obligées de donner les codes aux autorités, alors il sera possible pour les gouvernements étrangers et les pirates informatiques d'obtenir ces codes et de trouver un autre moyen d'accéder aux données des entreprises technologiques. En effet, le chiffrement deviendrait plutôt inutile.

Le chiffrement n'offre pas de protection contre le hacking d'État

Non seulement le chiffrement est vital pour notre protection au quotidien, mais en plus il ne complique pas tant que cela la vie des autorités. Tout d'abord, il ne protège pas les metadonnées (les autorités peuvent donc accéder à nos numéros, à notre historique, etc.). La seule chose qui est chiffrée, c'est le contenu même des messages.

Deuxièmement, les services de sécurité peuvent se procurer les technologies leur permettant de pirater directement les téléphones et ordinateurs des individus faisant l'objet d'investigations (ou d'individus proches de ces derniers). Par exemple, c'est ce qui s'est produit avec le téléphone auquel le FBI souhaitait accéder pendant l'enquête autour de la fusillade de San Bernardino. Nous n'avons pas le temps d'approfondir davantage, mais de plus en plus de gouvernements, comme ceux de la Belgique et des Pays-Bas, ont déjà donné ou souhaitent donner à leurs services de sécurité le pouvoir d'accéder aux données de tout type d'appareil électronique connecté à internet : pas seulement votre téléphone ou votre ordinateur, mais aussi votre voiture, télévision, console de jeux, compteur électronique, ainsi que vos appareils d'électro-ménager. Même votre grille-pain pourrait vous espionner. Une mauvais nouvelle, car cela signifie que les gouvernements achèteront de plus en plus de logiciels d'espionnage, dont certains seront inévitablement volés puis utilisés par des criminel.les. Vous rappelez-vous de la cyber-attaque du ransomware baptisé WannaCry, qui avait visé des hôpitaux en Grande-Bretagne? Vous pouvez remercie la NSA pour cette attaque, ce logiciel malveillant ayant été développé par l'agence de sécurité américaine, avant d'être volée par des hackers.

Vous voulez plus d'informations ou souhaitez consulter les études sur lesquelles nous nous appuyons? Alors jetez un coup d'oeil à notre rapport "La sécurité à travers les droits humains", ici.